4.6.3-测试 Session Fixation

已于 2024-10-17 17:21:23 修改
阅读量50 收藏
点赞数
分类专栏: 4.6 会话管理测试 文章标签: web安全
于 2023-10-19 09:17:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44232452/article/details/133919175
版权

测试 Session Fixation

ID
WSTG-SESS-03

总结

会话固定是通过在身份验证之前和之后保留会话 cookie 的相同值的不安全做法实现的。当会话 cookie 用于存储状态信息时,通常会发生这种情况,甚至在登录之前,例如,在验证付款之前将商品添加到购物车。

在会话固定漏洞的一般利用中,攻击者可以从目标站点获取一组会话 cookie,而无需首先进行身份验证。然后,攻击者可以使用不同的技术将这些 cookie 强制进入受害者的浏览器。如果受害者后来在目标站点进行身份验证,并且 cookie 在登录时没有刷新,则攻击者选择的会话 cookie 将识别受害者。然后,攻击者能够使用这些已知 cookie 冒充受害者。

可以通过在身份验证过程后刷新会话 Cookie 来解决此问题。或者,可以通过确保会话 Cookie 的完整性来防止攻击。在考虑网络攻击者时,即控制受害者使用的网络的攻击者,使用完整的 HSTS 或在 cookie 名称中添加__Host- / __Secure- 前缀。

当主机为自己及其所有子域激活 HSTS 时,将发生完全 HSTS 采用。Stefano Calzavara、Alvise Rabitti、Alessio Ragazzo 和 Michele Bugliesi 在一篇名为“Testing for Integrity Flaws in Web Sessions”的论文中对此进行了描述。

测试目标

  • 分析身份验证机制及其流程。
  • 强制使用 Cookie 并评估影响。

如何测试

在本节中,我们将对测试策略进行解释,该策略将在下一节中展示。

第一步是向要测试的网站发出请求(例如www.example.com)。如果测试人员请求以下内容:

GET / HTTP/1.1
Host: www.example.com

他们将获得以下响应:

HTTP/1.1 200 OK
Date: Wed, 14 Aug 2008 08:45:11 GMT
Server: IBM_HTTP_Server
Set-Cookie: JSESSIONID=0000d8eyYq3L0z2fgq10m4v-rt4:-1; Path=/; secure
Cache-Control: no-cache="set-cookie,set-cookie2"
Expires: Thu, 01 Dec 1994 16:00:00 GMT
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html;charset=Cp1254
Content-Language: en-US

应用程序为客户端设置一个新的会话标识符, JSESSIONID=0000d8eyYq3L0z2fgq10m4v-rt4:-1
接下来,如果测试人员通过以下POST成功地对应用程序进行了身份验证,该POST地址为https://www.example.com/authentication.php

POST /authentication.php HTTP/1.1
Host: www.example.com
[...]
Referer: http://www.example.com
Cookie: JSESSIONID=0000d8eyYq3L0z2fgq10m4v-rt4:-1
Content-Type: application/x-www-form-urlencoded
Content-length: 57

Name=Meucci&wpPassword=secret!&wpLoginattempt=Log+in

测试人员观察到来自服务器的以下响应:

HTTP/1.1 200 OK
Date: Thu, 14 Aug 2008 14:52:58 GMT
Server: Apache/2.2.2 (Fedora)
X-Powered-By: PHP/5.1.6
Content-language: en
Cache-Control: private, must-revalidate, max-age=0
X-Content-Encoding: gzip
Content-length: 4090
Connection: close
Content-Type: text/html; charset=UTF-8
...
HTML data
...

由于在成功进行身份验证后没有发出新的 cookie,因此测试人员知道,除非确保会话 cookie 的完整性,否则可以执行会话劫持。

测试人员可以向用户发送有效的会话标识符(可能使用社会工程技巧),等待他们进行身份验证,然后验证是否已为此 Cookie 分配权限。

使用强制 Cookie 进行测试

此测试策略针对网络攻击者,因此只需应用于未完全采用 HSTS 的站点(完全采用 HSTS 的站点是安全的,因为其所有 Cookie 都具有完整性)。我们假设在被测网站上有两个测试账户,一个充当受害者,另一个充当攻击者。我们模拟了这样一种情况:攻击者在受害者的浏览器中强制使用登录后不是新发出且不具有完整性的所有 cookie。受害者登录后,攻击者将强制 cookie 提供给网站以访问受害者的帐户:如果它们足以代表受害者采取行动,则可以进行会话固定。

以下是执行此测试的步骤:

  1. 到达站点的登录页面。
  2. 在登录之前保存 cookie jar 的快照,不包括名称中包含 __Host- or __Secure- 前缀的 cookie。
  3. 以受害者身份登录该站点,并访问任何提供需要身份验证的安全功能的页面。
  4. 将 Cookie jar 设置为在步骤 2 中拍摄的快照。
  5. 触发步骤 3 中标识的安全函数。
  6. 观察步骤 5 的操作是否执行成功。如果是这样,则攻击成功。
  7. 清除 cookie jar,以攻击者身份登录,并在第 3 步中访问该页面。
  8. 在 cookie jar 中逐个写入步骤 2 中保存的 cookie。
  9. 再次触发步骤 3 中标识的安全函数。
  10. 清除 cookie jar 并以受害者身份再次登录。
  11. 观察受害者账户中是否成功执行了步骤 9 的操作。如果是这样,则攻击成功;否则,该站点是安全的,不会受到会话固定。

我们建议对受害者和攻击者使用两台不同的机器或浏览器。这允许您在 Web 应用程序执行指纹识别以验证从给定 Cookie 启用的访问时减少误报的数量。较短但不太精确的 testing 策略变体只需要一个 testing account。它遵循相同的步骤,但在步骤 6 处停止。

修复

在用户成功进行身份验证后实施会话令牌续订。

在对用户进行身份验证之前,应用程序应始终首先使现有会话 ID 失效,如果身份验证成功,则提供另一个会话 ID。

工具

引用

开启学习模式
关注
专栏目录
4.6.3-Testing_for_Session_Fixation
qq_44232452的博客
10-19 29
【代码】4.6.3-Testing_for_Session_Fixation
arm linux gcc 4.6.3,编译gcc-4.6.3
weixin_30649185的博客
05-14 465
编译gcc-4.6.3准备下载GCC 源码包 : gcc-4.6.3.tar.bz2下载GCC 依赖包: gmp-5.0.4.tar.bz2, mpfr-3.1.0.tar.bz2 ,mpc-0.9.tar.gz解压gcc-4.6.3.tar.bz2 指令=》 [flydream@flydream opt]$ tar -xvf gcc-4.6.3.tar.bz2进入[flydream@fly...
arm-linux-gnueabi-gcc-4.6.3下载,构建arm-linux-gnueabi-gcc-4.6.3交叉编译链
weixin_42298971的博客
05-13 969
一、准备工作1、准备文件binutils-2.22.tar.bz2gcc-4.6.3.tar.bz2glibc-2.14.1.tar.xzglibc-ports-2.14.1.tar.gzglibc-linuxthreads-2.5.tar.bz2gdb-7.4.1.tar.bz2linux-2.6.38.8.tar.bz2mpfr-3.1.1.tar.bz2mpc-1.0.1.tar.gzgmp...
Fedora9 下搭建Qt Creator的ARM开发环境并移植Qt4.6.3-books到mini2440
g200407331的专栏
03-29 305
Fedora9 下搭建Qt Creator的ARM开发环境并移植Qt4.6.3-books到mini2440 分类: LINUX 2011-10-18 16:44:56 因为在搭建ARM的qte环境时,在友善之臂碰到问题后,在网上找到的一个解决方法,特存下来 Fedora9 下搭建Qt Creator的ARM开发环境并移植Qt4.6.3-books到mini2440 参考Fedora1...
Python3-BeautifulSoup4
潇洒小燕青的专栏
05-28 361
部署编译服务器
qq_33411994的博客
03-10 655
在Redhat / CentOS / Oracle Linux 环境下,主要步骤: 安装操作系统,选择 Software development workstation 补充安装以下软件: $ sudo yum install bison flex vim openssh-server compat-libstdc+±33.i686 cmake autoconf texinfo dos2unix $ sudo ln -s /usr/bin/perl /usr/local/bin/perl 解压M
linux装gcc4.6.3,linux下安装gcc-4.6.3
weixin_34952628的博客
05-13 317
此篇文章介绍了suse11的linux系统下早已有gcc的情况下,再次安装更新版本的gcc,并且配置两个版本都可以用编译安装:1.MPFR和MPC都依赖于GMP包,所以首先安装GMP#tar -xjvf gmp-5.0.5.tar.bz2#cd gmp-5.0.5#./configure (可以使用配置参数--prefix=指定安装位置,这里使用默认/usr/local/include和/usr/...
g++-4.6 : Depends: libstdc++6-4.6-dev (= 4.6.3-1ubuntu5) but it is not going to be installed libstd
baihuashu5858的博客
05-07 2865
问题:g++-4.6 : Depends: libstdc++6-4.6-dev (= 4.6.3-1ubuntu5) but it is not going to be installed libstdc++6-4.6-dbg : Depends: libgcc1-dbg but it is not going to be installed                       Reco...
apt-get 依赖版本过高(Depends: g++-4.6(>= 4.6.3-1)but it is not going)
小豆子的专栏
12-19 1071
在文章的开头,首先要声明,各个版本的Ubuntu的更新源是不同的,请大家使用自己相对应的源进行更新,不然会发生很多依赖问题!出现这个问题,一般都是因为自己更改了错误的源,诸如版本不对,自己是12.04版本的源改成了12.10 13.04的源,导致在使用apt-get的时候报依赖错误,以下是针对12.04 版本的源      昨天在装edb,发现总是报错误,具体错误的信息不大记得,但是 
Fedora9 下搭建Qt Creator的ARM开发环境并移植Qt4.6.3-books到min
Nicholas的专栏 QQ1295794532
08-13 1028
转自:http://hi.baidu.com/%C8%CB%D4%B3%CC%A9%C9%BDapple/blog/item/e578ab8fa97805c2fd1f109a.html  Fedora9 下搭建Qt Creator的ARM开发环境并移植Qt4.6.3-books
VMware-ovftool-4.6.3-24031167-win.x86-64.msi
08-15
导出ova镜像工具
win64 charles-proxy-4.6.3-win64.msi
02-23
标题中提到的"win64 charles-proxy-4.6.3-win64.msi"是Charles Proxy的4.6.3版本,专为Windows 64位操作系统设计的安装包。描述中的“亲测、可用、可升级”意味着这个版本已经过实际测试,不仅能够稳定运行,而且...
spring-tool-suite-3.8.4.RELEASE-e4.6.3-win32-x86_64_sts-bundle.zip
06-01
这个版本,3.8.4.RELEASE,是针对Eclipse 4.6.3(Neon)定制的,并且适用于Windows 32位和64位系统。在"sts-bundle.zip"压缩包中,包含了开发Spring应用所需的所有工具和配置。 首先,我们来深入了解一下Spring框架...
springsource-tool-suite-3.9.4.RELEASE-e4.6.3-updatesite.zip
05-30
这个压缩包"springsource-tool-suite-3.9.4.RELEASE-e4.6.3-updatesite.zip"正是这样一个更新站点的资源包,它包含了最新的版本3.9.4.RELEASE,并且基于Eclipse 4.6.3(Neon)平台。 首先,我们来看下压缩包中的...
lxml-4.6.3-cp310-cp310-win_amd64
08-19
lxml-4.6.3-cp310-cp310-win_amd64
网络安全:数字时代的护城河
X2829352498的博客
11-17 471
网络安全(Cybersecurity)是指通过技术手段和管理措施,保护网络系统、数据及其相关资源免受未经授权的访问、篡改、泄露或破坏。其目标是确保数据的机密性完整性和可用性(CIA 三要素)。网络安全是一个持续发展的领域,面对多变的威胁环境,个人、企业和政府需要协同努力。通过技术手段与管理措施相结合,强化网络安全防护体系,可以有效应对不断升级的安全挑战。正如数字时代的护城河,网络安全是我们保护数据和隐私的重要屏障。
【网络安全 | 漏洞挖掘】通过密码重置污染实现账户接管
等风来
11-17 19
修改 HTTP 请求中的Origin字段,将其设置为攻击者控制的 URL;服务器接受了恶意 Origin 值并生成了对应的重置链接;用户点击邮件中的链接后,被重定向至攻击者的服务器;攻击者拦截并使用重置令牌完成账户接管。
【网络安全 | 漏洞挖掘】在重置密码流程利用请求头实现ATO
最新发布
等风来
11-17 27
接下来,我注意到,如果我在密码重置页面输入受害者的电子邮件,并且拦截这个请求,然后添加一个名为“X-Forwarded-Host”的头并将其设置为我的恶意域名,受害者将收到一封带有密码重置token链接的邮件,并且该链接的域名会被替换为我的恶意域名。在开始的时候,我花了5-6天时间,发现了XSS、IDOR、SQL注入、登录页面漏洞、信息泄露和子域名接管等漏洞,但一直没有找到特别重大的漏洞。然后,我在原始请求中添加了一个名为“X-Forwarded-Host”的头,并将其值设置为我的ngrok服务器域名。
【网络安全】OSI网络安全体系结构
Hacker_Fuchen的博客
11-13 785
OSI安全体系结构是在开放式系统互联(OSI)参考模型的基础上,为了解决网络通信中的安全问题而提出的。随着计算机网络技术的快速发展,数据传输的安全性变得越来越重要。OSI安全体系结构的提出,旨在为网络通信提供一个标准化的安全框架,确保信息在传输过程中的机密性、完整性和可用性。国际标准化组织(ISO)在20世纪80年代提出了OSI参考模型,随后为了应对日益增长的网络安全需求,进一步发展了OSI安全体系结构。
lxml-4.6.3-cp39-cp39-win_amd64.whl 下载
08-13
lxml-4.6.3-cp39-cp39-win_amd64.whl 是一个Python的第三方库,用于处理XML和HTML的解析库。该库提供了本地解析和远程解析的功能,可以高效地处理XML和HTML文档。 要下载lxml-4.6.3-cp39-cp39-win_amd64.whl,可以按照以下步骤进行操作: 1. 打开任意一个浏览器,并进入Python官方网站(https://www.python.org)。 2. 在网页的导航栏中找到"Downloads"(下载)选项,并点击进入下载页面。 3. 在下载页面中找到lxml库的下载链接,可以通过搜索栏或者在页面中找到"lxml"关键词进行搜索。 4. 找到适用于你的操作系统和Python版本的lxml库下载链接。在这个例子中,我们选择lxml-4.6.3-cp39-cp39-win_amd64.whl,适用于Windows操作系统和Python 3.9版本的64位版本。 5. 点击下载链接,浏览器将自动开始下载lxml-4.6.3-cp39-cp39-win_amd64.whl文件。下载完成后,文件将保存在你的默认下载文件夹中,通常是"Downloads"文件夹。 6. 下载完成后,你可以将lxml-4.6.3-cp39-cp39-win_amd64.whl文件移动到你想要的目录中。 下载完成后,你可以使用pip安装lxml-4.6.3-cp39-cp39-win_amd64.whl文件。打开命令行界面,输入以下命令: ``` pip install C:\path\to\lxml-4.6.3-cp39-cp39-win_amd64.whl ``` 其中"C:\path\to\"是你lxml-4.6.3-cp39-cp39-win_amd64.whl文件所在的路径。执行命令后,pip将自动安装lxml库到你的Python环境中。 通过上述步骤,你就可以成功地下载并安装lxml-4.6.3-cp39-cp39-win_amd64.whl文件,开始使用lxml库来处理XML和HTML文档了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值